一�����、網(wǎng)絡現(xiàn)狀及安全需求描述
1、現(xiàn)有網(wǎng)絡結構無需做任何調整�����,冗余及VLAN劃分等網(wǎng)絡基礎建設都已全部完成�����,只需考慮網(wǎng)絡安全方面內容進行改造。
2��、網(wǎng)絡現(xiàn)有內����、外兩套網(wǎng)絡,外網(wǎng)與互聯(lián)網(wǎng)連接��,內網(wǎng)不允許訪問互聯(lián)網(wǎng)��,但需要和外網(wǎng)做數(shù)據(jù)交換����。
3、網(wǎng)絡中有WEB 服務器���,數(shù)據(jù)庫服務器�,應用服務器等���,訪問量較大����,且服務器運維人員較雜����。
4、需考慮移動辦公需求���。
5�����、有專線接入外網(wǎng)區(qū)域�����。
二��、網(wǎng)絡現(xiàn)狀拓撲圖
1����、外網(wǎng)拓撲圖
2�、內網(wǎng)拓撲圖
三、網(wǎng)絡安全整改需要添加的安全設備和管理系統(tǒng)
根據(jù)網(wǎng)絡劃分及層次����,我們進行逐條分析,然后后續(xù)描述安全設備及安全管理平臺起到的作用。
(一)解決安全需求一:網(wǎng)絡現(xiàn)有內�����、外兩套網(wǎng)絡�����,外網(wǎng)與互聯(lián)網(wǎng)連接�����,內網(wǎng)不允許訪問互聯(lián)網(wǎng)�����,但需要和外網(wǎng)做數(shù)據(jù)交換����。
需要使用安全隔離控制設備,如安全網(wǎng)閘����,它可以把內、外網(wǎng)的數(shù)據(jù)進行控制交互��。但是部署了網(wǎng)閘還不能防止惡意或污染的數(shù)據(jù)攻擊,還內��、外網(wǎng)交互之間部署相關的安全設備���,如下描述:
(1)首先內網(wǎng)邊界處部署邊界防火墻,可以進行數(shù)據(jù)控制交換�;
(2)其次在防火墻之上再連接安全網(wǎng)閘,網(wǎng)閘可以控制交換內���、外網(wǎng)的數(shù)據(jù)�����。
(3)最后��,在內網(wǎng)防火墻與網(wǎng)閘之間部署防毒墻設備��,由于在網(wǎng)閘上使用惡意病毒過濾模塊��,會影響該網(wǎng)閘的處理數(shù)據(jù)能力及性能����,所以����,單獨串接防毒墻設備��,可以把內�����、外網(wǎng)交換的數(shù)據(jù)清除或清洗����。
(二)解決安全需求二:網(wǎng)絡中有WEB 服務器����,數(shù)據(jù)庫服務器,應用服務器等����,訪問量較大。
該企業(yè)訪問量大����,說明業(yè)務是在快速發(fā)展中。為了迎接未來大數(shù)據(jù)��、云計算的安全挑戰(zhàn)����,該企業(yè)通過部署如下安全設備�����,可以適當解決相關安全威脅的問題���。設備與部署,如下描述:
(1)部署抗DDOS的安全設備:在路由器的出口外���,部署抗DDOS的安全設備,可以防護各類基于網(wǎng)絡層�、傳輸層及應用層的拒絕服務攻擊,如SYNFlood��、UDP Flood�、UDP DNS QueryFlood、(M)Stream Flood��、ICMPFlood�、HTTP Get Flood以及連接耗盡等常見的攻擊行為。
(2)部署帶寬控制設備:在路由器的后面部署帶寬控制設備���,可以顆粒度的帶寬控制��,確保該單位的相關業(yè)務應用能夠正常運行�����。
(3)部署負載均衡設備:在帶寬控制設備之后部署負載均衡設備��,可以確保兩條外網(wǎng)專線的帶寬分發(fā)保證�����,還可以解決反向代理的問題�。
(4)部署下一代防火墻:在負載均衡設備之后部署下一代防火墻,因為下一代防火墻可以解決應用層��、網(wǎng)絡層����、傳輸層等等安全控制的問題,同時它還可以集成入侵防御��、惡意病毒等模塊��。加上本安全防護方案�,需要使用相關的功能功能模塊,如入侵防御���、惡意病毒等功能模塊��。如果設備影響性能�����,建議單獨買入侵防御系統(tǒng)和防病毒網(wǎng)關�����。
(5)部署數(shù)據(jù)庫審計系統(tǒng):在服務器區(qū)部署數(shù)據(jù)庫審計系統(tǒng)��,對內部的開發(fā)人員����、系統(tǒng)管理員等訪問�、操作、刪除數(shù)據(jù)庫系統(tǒng)的都可以進行審計與記錄�����。它還可以根據(jù)設置的規(guī)則����,智能的判斷出違規(guī)操作數(shù)據(jù)庫的行為�,并對違規(guī)行為進行記錄��、報警��。
(三)解決安全需求三:服務器運維人員較雜����。
由于服務器運維人員較雜,就是目前管理起來很混亂�。建議進行如下安全控制部署:
(1)在外網(wǎng)區(qū)內部署一套運維審計系統(tǒng):通過該系統(tǒng)可以統(tǒng)一進行對服務器或網(wǎng)絡、安全設備的運維人員進行精細化的管理�,同時,通過該系統(tǒng)���,對運維人員的所有操作都可以進行記錄和錄屏�����,可以滿足合規(guī)的相關要求����。
(2)部署網(wǎng)絡準入控制系統(tǒng):無論內部用戶還是運維人員��,連接網(wǎng)絡都首先要通過網(wǎng)絡準入系統(tǒng)允許才能連接內部的網(wǎng)絡�����,最后,運維人員才能登陸運維審計系統(tǒng)�����,才可以對相關的服務器或網(wǎng)絡設備進行操作���。
(四)解決安全需求四:需考慮移動辦公需求
云計算��、大數(shù)據(jù)�����、物聯(lián)網(wǎng)等相繼出現(xiàn)與發(fā)展����,未來移動互聯(lián)是趨勢���,所以企業(yè)一方面:應用系統(tǒng)需要往移動互聯(lián)的業(yè)務擴展;另一方面��,內部也需要移動辦公的需要���,要制定移動辦公的安全解決方案��。從如下進行解決:
(1)部署遠程接入辦公平臺:在服務器區(qū)部署遠程接入辦公平臺�,該系統(tǒng)作為移動辦公接入用,主要用于員工在外網(wǎng)通過VPN方式接入訪問相關的業(yè)務系統(tǒng)�,同時根據(jù)不同用戶設置不同權限。
(五)解決安全需求四:其它方面的安全防護與管理����。
(1)部署網(wǎng)絡版殺毒軟件:前面的下一代防火墻中含有惡意防范的模塊,在橫向可以解決網(wǎng)絡層面的病毒防范��。同時在終端與服務器上都需要安裝殺毒軟件���。在終端及服務器上統(tǒng)一部署網(wǎng)絡版的殺毒軟件��,病毒更新及清除�,可以統(tǒng)一在網(wǎng)絡版的服務端進行相關操作����。
(2)部署漏洞掃描安全評估系統(tǒng):在內網(wǎng)中部署漏洞掃描安全評估系統(tǒng),可以及時掌握內網(wǎng)服務器��、終端等漏洞情況,能夠快速地進行制定安全防御的措施��。
(3)部署統(tǒng)一補丁管理服務器:在內網(wǎng)部署統(tǒng)一補丁管理服務器�,可以對漏洞掃描安全評估系統(tǒng)掃描出的相關漏洞,通過補丁管理服務器進行統(tǒng)一更新����,確保操作系統(tǒng)的安全、穩(wěn)定運行��。
(4)部署PKI/CA數(shù)字證書管理系統(tǒng):根據(jù)相關的應用系統(tǒng)防范要求�����,一方面��,可以滿足�����,如針對國家信息安全等級保護“等保要求“中��,”兩種身份鑒別方式的要求“��;另一方面���,可以提高應用系統(tǒng)或其它系統(tǒng)的安全身份鑒別的防御能力��。(5)部署安全管理中心系統(tǒng):在內網(wǎng)中部署安全管理中心系統(tǒng)對服務器����、網(wǎng)絡設備�、安全設備等采集各個設備的資源監(jiān)控、日志告警��,具備事件關聯(lián)功能�,提供報表和告警。方便統(tǒng)一安全監(jiān)控與管理��。
(6)部署桌面管理系統(tǒng):在內網(wǎng)中部署桌面管理系統(tǒng)用于對辦公局域網(wǎng)計算機設備行為管理和相關數(shù)據(jù)統(tǒng)計��,并能進行終端的行為管理��,及時更新最新補丁供終端下載更新等����,可用來減少潛在的安全隱患,起到減少安全隱患���、預防安全事件發(fā)生的作用�����。
(7)部署IT集中運行監(jiān)控系統(tǒng):在內網(wǎng)中部署IT集中運行監(jiān)控系統(tǒng)�����,它主要監(jiān)控服務器主機�、數(shù)據(jù)庫、中間件��、網(wǎng)絡設備���、虛擬化平臺的以下信息:性能監(jiān)控����、日志收集�、故障監(jiān)控。當監(jiān)控到某臺設備無法響應監(jiān)控系統(tǒng)的訪問時���,將告警信息通知相關管理員�,管理員再聯(lián)系維護人員進行處理��,起到盡早發(fā)現(xiàn)并處置故障的作用�����。
18028990096/13725734438
